Doge Denizen Marko Elez 泄露了 xAI 的 API 密钥

快速阅读: 据《Krebs on Security （博客）》称，7月13日，25岁员工马克·埃莱兹在GitHub泄露xAI私有API密钥，可访问52个LLM，引发担忧。该密钥未被撤销，其曾因违规被解雇，后复职。此前DOGE员工也多次泄露密钥。

7月13日，美国，25岁的马克·埃莱兹在GitHub上意外发布了xAI公司的私有API密钥，该密钥可访问超过52个大型语言模型（LLMs），引发了广泛担忧。埃莱兹是埃隆·马斯克政府效率部（DOGE）的员工，拥有访问多个联邦机构敏感数据库的权限。

据安全公司GitGuardian透露，该密钥最早由其系统发现。GitGuardian持续监控GitHub等代码仓库，以检测和修复暴露的秘密。安全咨询公司Seralys的首席黑客官菲利普·卡图尔吉表示，这些LLM中最新的一款名为“grok-4-0709”，创建于2025年7月9日。Grok是由xAI开发的生成式AI聊天机器人，已集成到Twitter/X中，依赖于这些LLM。

卡图尔吉指出，尽管代码库在被通知后迅速删除，但该API密钥至今仍未被撤销。他表示：“如果一名开发者无法保护API密钥的安全，就令人怀疑其处理更敏感政府信息的能力。”

此前，埃莱兹曾在马斯克的多家公司工作。他在财政部开始DOGE的职业生涯，但因违反政策发送未加密的个人信息而引发法律纠纷。2023年，埃莱兹因与种族主义和优生学相关的社交媒体帖子被《华尔街日报》曝光而辞职。然而，经副总统J.D.万斯游说，特朗普总统和马斯克同意恢复他的职位。

自重新加入DOGE以来，埃莱兹陆续获得多个联邦机构数据库的访问权限，包括美国社会保障局、劳工部、海关与边境保护局、移民与海关执法局（ICE）、国土安全部和司法部。

这不是DOGE员工第一次在GitHub上泄露xAI的API密钥。今年5月，KrebsOnSecurity报道了一起类似事件，另一名DOGE员工在GitHub上泄露了私人密钥，持续时间长达两个月，涉及为马斯克公司内部数据定制的LLM。

卡图尔吉强调，重复的泄露事件不仅是一次失误，更是深层疏忽和安全文化失衡的表现。“一次泄露可以理解，但反复发生则表明了严重的问题。”他说。

(以上内容均由Ai生成)